如何看待及處理5月12號爆發在各高校的電腦勒索比特幣的病毒

5月12日晚，國內高校陸續反應稱教育網電腦大面積中了比特網勒索病毒--WNCRY，該病毒會加密電腦中幾乎所有的文檔、圖片，造成其無法打開或者打開之後是一堆亂碼。

但是系統中運行的系統文件卻不受影響。

此次病毒的目的性

這個病毒目的十分直白，就是向用戶索取比特幣及美金，然而不要有那種破財免災的想法，你要做的就是不要支付比特幣給黑客。

因為支付地址是同一個，而此次病毒感染為全球性的，按照區域鏈原理，黑客知道支付端地址的機率為零，意味著支付完能恢復的的機率也是零。

病毒的傳播方式

WNCRY病毒主要是利用郵件及傳真傳播，可遠程攻擊windows的445埠即文件共享，國內部分運營商針對個人用戶曾封掉445埠，然而教育網並無此限制，大量機器暴露著445埠，這也是大學成為病毒重災區的原因。

據悉勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

系統漏洞為主要感染原因

2017年3月14日，微軟向用戶推送了MS17-010安全更新，封堵了這個 SMBv1 的安全漏洞，面向 Vista 及以上平台。

理論來說，使用windows自動更新的用戶，都已經堵住了這個缺口。

然而除了win10系統無法關閉自動更新外，其他個人用戶基本都關閉了自動更新功能，且高校機器電腦基本老舊，教育軟體版本低，存在著大量的古董級應用，除了特殊機器外，國內高校基本都是近10年的老舊電腦和全部win7以下的系統版本，甚至存在數量巨大的xp盜版系統，這種狀態下，更新修補系統漏洞的幾率幾乎為零，而且用於教學的電腦殺毒軟體利用率極低，這也是間接助力了病毒的感染。

這不得不令人反思。

應對方法

對於沒有收到病毒影響的電腦：

1.請儘可能通過Windows系統更新獲取補丁

2.如果不想更新或者使用的是盜版Windows，請在控制面板>程序>啟用或關閉Windows功能取消勾選SMB 1.0/CIFS 文件共享支持，並重啟系統

3.關閉445埠

關閉445埠步驟：

一、單擊「開始」——「運行」，輸入「regedit」，單擊「確定」按鈕，打開註冊表。

二、找到註冊表項「HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters」。

三、選擇「Parameters」項，右鍵單擊，選擇「新建」——「DWORD值」。

四、將DWORD值命為「SMBDeviceEnabled」。

五、右鍵單擊「SMBDeviceEnabled」值，選擇「修改」。

六、在出現的「編輯DWORD值」對話框中，在「數值數據」下，輸入「0」，單擊「確定」按鈕，完成設置。

4.通知校方加強網絡監控或關閉伺服器445埠。

5.重要資料多進行備份。

對於已經中病毒的電腦：

1. 千萬不要支付比特幣，不和犯罪分子妥協，也不要造成更大損失。
   
   

2. 一旦中病毒，立刻斷網，防止病毒庫的下載及數據傳播，儘快備份數據，減少損失。
   
   

3. 議冷處理，等幾天後看看有什麼新動態，此次波及範圍廣泛，安全部門肯定會拿出應對方案。
   
   

目前來看，這是波及高校與教育部門的最大的網絡安全事件，相信對於網絡信息日益膨脹的今天，這無疑是對安全防護敲響了警鐘，看似安全的網絡實際上存在著巨大隱患，從另一個角度講，如果能以最小的損失處理掉這場事故，也無疑是對高等教育上了一節生動的網絡安全課。

在這個畢業季的關鍵時節，廣大畢業生一定要做好畢業設計及論文等重要文件的安全防護，千萬不要讓20年前博士生畢業答辯前一天痛哭「全完了」的場景重現。